Processi di Windows sotto analisi con ProcessExplorer

Author: Guido Arata

6 mag

Windows XP avvia molti processi e servizi per default. Un utilissimo strumento gratuito per visualizzare tutti i processi in esecuzione è Process Explorer. E’ considerabile come l’evoluzione del Task Manager di Windows. Si tratta di un programma eccellente che permette di verificare quali processi sono in esecuzione sul sistema: ciascuno di essi può essere interrotto tramite l’interfaccia del programma. Inoltre Process Explorer permette di avere un’idea chiara di ciò che sta accadendo: ad esempio, è possibile sapere, in tempo reale, quale processo ha aperto determinati file o cartelle.

Molto utile anche per scovare virus e worm che si annidano sul nostro sistema operativo. Vediamo un esempio. Il processo Explorer.exe indica la sessione dell’utente. Tutti i processi legati alla sessione sono derivati dal processo Explorer.exe, che è la radice dei processi della sessione utente.
In questo esempio, si possono vedere solo tre processi di sessione in esecuzione:

ccApp.exe = client del Norton Antivirus Corporate Edition
ctfmon.exe = servizio di Win XP che controlla le finestre attive e fornisce il supporto per l’input del testo
procexp.exe = il programma process explorer

Prendiamo in considerazione una situazione "ideale" dove il virus / worm non ha modificato e sostituito i file responsabili dei principali servizi e processi di Win XP, ma si è semplicemente installato ed è in esecuzione, come un comune programma utente. In questa situazione troveremo un processo sospetto in esecuzione all’interno della sessione dell’utente, cioé alle dipendenze di Explorer.exe In questo caso il processo sospetto è: msnwindows.exe e facilmente si potrà verificare con un antivirus la sua potenziale dannosità.

Guido Arata ha sviluppato, tempo fa, uno strumento molto simile: Wiki Process. Il software è opensource e, all’ avvio esegue una scansione dei processi attivi e, per ciascuno, ne ricerca in rete informazioni, segnalando agli utenti quelli potenzialmente dannosi.

Scritto da Pecciola

Dai visibilità al problema: Tweet #siamoeroi

Filed under: Tutti gli articoli

RSS feed for comments on this post

Commenti da Facebook

3 Responses for "Processi di Windows sotto analisi con ProcessExplorer"

Tom luglio 18th, 2011 at 12:36 pm 1
Ciao,

avrei bisogno, gentilmente, di alcuni chiarimenti:

Ci sono alcune voci di Process Explorer che non so come leggere e quindi utilizzare a mio favore per capire se un determinato processo è legittimo o nasconde sorprese ( ad esempio malware o servizi che possono essere disattivati)

Cosa intendiamo per elenco degli Handle aperti?
oppure se si dice “Thread” del processo cosa si intende?

Quali sono le schede più importanti, tra quelle indicate in parentesi, (IMAGE; Performance;Performance Graph;Services; Threads; TCP/IP; Security; Environment; Strings )da prendere in considerazione quando visualizziamo le proprietà di un determinato processo e come utilizzare i relativi dati per capire se un determinato processo è legittimo o può essere causa di un malware?

Ad esempio se selezioniamo un processo, tasto destro— proprietà, abbiamo molte schede, in quella denominata “Image” leggiamo tra le altre voci:

Parent
cosa indica?
Provo a darmi una risposta, vado a senso: mostra la relazione di dipendenza tra un processo gerarchicamente superiore ed il sottoprocesso, nel senso che il sottoprocesso ha bisogno per funzionare che il processo gerarchicamente superiore sia in esecuzione! Giusto?
Per cui quando parliamo di relazione di dipendenza tra un processo parent ed un processo figlio, e quindi sottoprocesso, posssiamo affermare che il processo parent ha lanciato in memoria( RAM)/ha richiesto l’accesso al processo figlio/sottoprocesso?

( Esempio Se l’utente avvia Firefox,l’applicazione Firefox crea/lancia firefox.exe e plugin-container.exe,invece per una data istanza di svchost.exe, come facciamo a capire qual’ è l’applicazione che lo ha lanciato?

Provo a rispondere: nella scheda Image, leggiamo alla voce “parent” il processo che ha lanciato una determinata istanza di svchost.exe? ( dato che emerge anche visionando l’albero che si trova a sinistra nella schermata principale del programma?).Giusto?

Faccio un esempio, ipotizziamo che service.exe “sia un processo parent”, (lo vediamo anche nell’albero a sinistra ad un livello sopra svchost.exe), possiamo, dunque, affermare che services.exe è l’applicazione che ha “chiesto” di accedere alla risorsa di sistema ( svchost.exe “figlio/sottoprocesso) che a sua volta caricherà in memoria tutta una serie di DDL contenenti dei servizi o programmi che contengono funzioni utili per il funzionamento del sistema operativo? Giusto?

Potresti, gentilmente, spiegarmi questo concetto?
Ogni processo è in esecuzione sul sistema con un proprio user (con il quale accede alle risorse del sistema) un PID (numero univoco che identifica il processo), un PPID (il PID del processo padre).
User cosa indica? e a cosa ci serve capire l’user del processo ai fini dell’analisi del processo stesso? ( ad esempio se troviamo scritto NT Authority/SYSTEM ( cosa significa?) invece se troviamo indicato il nome Utente “Tom”?,

Nell’esempio da te fatto dici: il processo Explorer.exe indica la sessione dell’utente ( che vuol dire?). Tutti i processi legati alla sessione sono derivati dal processo Explorer.exe, ( che vuol dire?) che è la radice dei processi della sessione utente ( che vuol dire?)

a cosa servono i bottoni “Verfy”; “Bring to Front” ;Kill process ( questo l’ho capito, serve per terminare un processo)
Grazie mille

Ciao

Tom
Pare dei VIZI settembre 8th, 2011 at 1:18 am 2
porca miseri hai scritto un tesyamento e st’idiota manco ti ha risposto
Pare dei VIZI settembre 8th, 2011 at 1:20 am 3
COMUNQUE DEVI ESSERE UN PO’ ABILE ED AVER STUDIATO ALMENO LE BASI FONDAMENTALI DEI SISTEMI OPERATIVI MICROSOFT PER POTERTI ALMENO RAGGUAGLIARE SULLE RISPOSTE. E’ INUTILE UTILIZZARE UN PROGRAMMA DI ANALISI PROCESSI SE NON SI SA’ NEANCHE A CHE COSA SERVE.. A QUESTO PUNTO USA LA NORMALE TASK MANGER CHE HAI SUL TUO PC. ARRIVEDERCI